被蹭WiFi,被薅带宽?你的损失超乎你想象!

2018-11-02

明明WiFi信号满格

但网页就是懵逼似的转圈圈

明明路由就在旁边

但网速就如老蜗牛散步般慢慢慢~

东检西查

没人下载

没人看高清视频

单单刷个圈怎么就那么费事,甚至还TM断网了??

我只是个刚从幼儿园毕业二十年的孩子

为什么要这样对我?╯_╰


不用猜,都是“蹭网族”惹的祸

网络时代,“蹭网”一词很多朋友都不会陌生,不管是你蹭他还是他蹭你,一点宽带的事,谁还没个江湖救急?但大多数人可能没有想过,如果自己的无线被蹭,损失将远不止是带宽那么简单!

随着应用市场各种共享WiFi软件的出现,蹭网这一行为似乎变成了一种理所当然免费上网的方式。但是作为路由器主人的你需要注意了,被人蹭网不仅仅意味着被人薅宽带,个人信息:包括你的微信、QQ等各种账号密码,你浏览过的网页,逛过的淘宝,可能早就已经被记在小本本上了,在某个平凡而又沉闷的日子里你的账户突遭洗劫空空如也,这绝不是危言耸听!


下面进入WiFi被蹭危害盘点时间



上网速率急速下降

在购买路由器的时候,包装里面都会有一本说明书,说明书里面都会写着该台路由器的标准带机量是多少台,意思就是这台路由器能够带上多少个用户,如果连接的用户超过了这个数量,很可能造成网络拥塞,甚至网络崩溃,但是这也根据实际的使用情况而定,比如有20个用户只是连接上了,但是并没有进行上网、看视频等行为,可能就不会出现如上情况。

回想一下,为什么会有标准带机量这么一说,其实就是为了防止接入的用户数过多,导致上网的速率变得超级慢,这也是被蹭网最直观的感受,多人同时上网的时候可以明显地感觉到速率变慢,就像一个人花100块和10个人花100块,完全是不一样的。

图1  查看主机监控


账号密码等信息泄露

在说这个之前,首先来说一下什么是VLAN,VLAN的专业术语叫虚拟局域网,需要注意的是,在同一个虚拟局域网之内,所有的终端都处于同一个广播域,这类似于在同一个大厅之内,只要有一个人说话,全部人都可以听得到,相同的,在同一个局域网之内,只要有一台终端进行广播,所有终端都能接收到。

就无线网络而言,现在绝大多数用户都没有专门对无线进行VLAN的划分,买回来的无线路由器就只设置了账号和密码,只要求能上网就行,但是也正是利用了这个问题,很多黑客可以非常轻松地获得局域网内的用户数据。原理非常简单,所有的用户都处于同一个局域网之内,而这个局域网访问外网只有一个出口,就是这台路由器的WAN口,也就是说,在这个局域网内的所有用户要上网,只能通过这台路由器的WAN口访问,此时黑客只需要对这台路由器抓包,抓取到的数据包包含了用户访问的页面、用户的IP、使用的协议等,如果是不加密的网站可以从数据包中直接提取账号,然后进行暴力破解,进行到这一步,你的账号密码就已经是别人的了。

图2  无线的VLAN配置


轻松获得路由器的管理权限

为了方便用户登录和管理路由器,很多厂商在出厂的时候都设定了登录路由器的默认网关和默认管理员账号密码,比如192.168.1.1、192.168.0.1、root和admin等等。很多用户买回来之后都没有进行修改,直接就使用192.168.1.1作为默认网关,用root和admin作为管理员账号密码,DHCP池中的地址也是192.168.1.0网段。也就是说在默认情况下,连接WiFi的用户可以随机获取到192.168.1.1-192.168.1.254中的任意一个地址。

那么这时候,所有连接到无线网络中的用户都可以使用192.168.1.1进行路由器登录,默认账号和密码在网上一搜索就可以知道,这样一来路由器的管理权限就掌握在别人手里了,别人可以任意修改你的路由器配置,包括管理员账号密码,后果可想而知,可能到最后,你的路由器连你自己都无法登录了,还谈何蹭网呢?

图3  局域网默认网关配置


图4  路由器管理账号密码配置


DNS劫持

DNS劫持又称为域名劫持,是指拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问或访问的是假网址。

首先要明白域名和IP地址之间的关系,其二者是一对一的关系,比如说www.wayos.com,在浏览器输入维盟的域名之后,DNS服务器将其解析成IP地址之后才能访问,而不是直接使用域名访问。内网DNS劫持原理也很简单,即当用户输入域名的时候,黑客可以将你的请求拦截,然后返回一个其他域名的地址给你,如果返回的IP地址是一个恶意网站,那么你就中招了,你访问的将是黑客给你的恶意网站,很可能窃取你的个人信息和账户资料。

图5  DNS劫持


以上都是WiFi被蹭网之后比较常见的安全威胁,往小了说,蹭网只是为了蹭网,这会占用你的网络带宽,影响你的上网速率;往大了说,黑客的蹭网可能会窃取你的个人和账户资料,让你付出巨大的代价。由此可见,如何有效地防止随意蹭网就变得非常重要。

无线密码配置

WiFi使用简单的密码非常危险,很多人为了方便使用,将自己的WiFi密码设置为12345678、abcdefg这样非常简单的密码,要知道,黑客破解WiFi密码的方式为“暴力破解”,指的是使用一个脚本加上一个字典,字典上存放着海量的密码组合方式,通过脚本快速地尝试登录WiFi,像12345678这样简单的数字密码,基本上不用1秒钟就能被破解,密码形同虚设。

建议大家使用英文字符+数字+特殊字符这样的密码组合方式,如qwer**0102这样的复杂的组合方式,这样的密码破解起来难度会大很多,保障自己的WiFi安全。

图6   WiFi密码配置


MAC地址过滤

MAC地址和IP地址的性质是差不多的,MAC地址指的是电脑和手机网卡的物理地址,这个地址是全球唯一的,在二层网络转发数据的时候都是通过MAC地址转发,过滤掉蹭网的MAC地址也是防止蹭网的有效手段之一。

首先需要登录路由器的主机监控,在主机监控中查看已经连接该路由器的用户,通过IP地址排查是否存在蹭网的用户,排查的方式为先在终端(即电脑和手机)连接WiFi之后,在设置里面查看本机的IP地址,然后与主机监控中的IP地址对应匹配,如果主机监控中存在其他IP地址,那么多数都是蹭网的用户。

图7  查看手机连接WiFi后获取到的IP地址

图8  查看主机监控的IP地址


然后复制蹭网用户的MAC地址,打开无线配置-无线安全-无线MAC地址过滤,将MAC地址复制到这里,设置阻止如下客户端连接就可以了。


图9  MAC地址过滤规则配置


无线名称及VLAN配置

在维盟的无线路由器中,可以设置5个不同的SSID(无线名称),为了在一定程度上防止无线被蹭网造成的路由器入侵,可以设置2个SSID,并给这两个SSID划分不同的VLAN,即虚拟局域网。

2个SSID分别给自己家里人或公司的人用,同时给自己用的SSID做隐藏配置,另一个给需要连接无线的人用,比如说亲戚朋友、客户等,这样可以让蹭网的用户连接到可见的、不是自己用的WiFi,这样一来,即使被蹭网,也可以避免自己和蹭网的用户处于同一个局域网,在很大程度上减少了自身信息被泄露的威胁。


图10 无线SSID及VLAN配置


修改路由器管理员账号密码

第一次登录路由器的时候就应该修改默认的登录账号和密码,同时修改WEB登录的端口号,避免使用默认的账号密码,否则别人可以在网上搜索一下该品牌路由器的默认账号密码,可以非常容易地登录路由器,获得路由器的管理权限,做一些非常危险的配置。

图11  路由器管理员账号密码管理


身份认证

为了对连接WiFi的用户做一个管理,可以对连接WiFi的用户进行身份认证。在维盟的路由器中,有一个“智慧WIFI”功能,这项功能提供微信认证、手机认证等多种认证方式,现在的手机号都需要实名认证,这样一来相当于间接对用户做了身份认证。

维盟智慧WiFi功能可以配置用户在连接WiFi之后的2分钟内必须进行身份认证,否则将被阻止上网,做了这个认证之后相信很多蹭网的用户都会望而却步,而且就算被蹭网,也不敢随意进行路由器攻击等操作,一旦被发现,等待他的将是法律的制裁。

图12  智慧WIFI配置

图13  智慧WiFi认证方式配置

 小结 

信息时代存在的网络安全威胁甚多,尤其是无论办公还是生活都离不开网络的今天,更是有人抓住这些漏洞进行利益上的窃取,而且这些行为都进行在无形之中,或许就因为你的一些不注意,导致你的一切在一夜之间不翼而飞。因此,在当今时代,保护好自己的网络资源在更大程度上来说,其实就是保护自己。

(免责声明:本文部分图片来源于网络,版权归原作者所有,如有侵权请联系我们予以支付报酬)

商务合作
服务时间:9:00-21:00
技术支持
服务时间:9:00-21:00
投诉建议
服务时间:9:00-21:00